[SCI] Credenciales en texto claro en productos VARTA

Introducción

Una vulnerabilidad crítica en distintos productos de VARTA ha sido descubierta bajo la coordinación y soporte del CERT@VDE por el investigador de seguridad Andreas Dolp[1] .

Análisis

La explotación exitosa de estas vulnerabilidades podría permitir que un atacante o proceso no autorizado espíe, vea o modifique datos, obtenga acceso al sistema, realice una ejecución de código, instale software no autorizado o afecte a la integridad de los datos del sistema, de tal manera que afecte negativamente a la confidencialidad, integridad o disponibilidad de este.

CVE-2022-22512: Uso de credenciales codificadas (CWE-798)

Las credenciales codificadas en la Web-UI de varios productos VARTA Storage en varias versiones permiten a un atacante no autorizado obtener acceso administrativo a la Web-UI a través de la red.

La vulnerabilidad permite el acceso no autorizado de lectura y escritura al backend web. Esto permite la lectura y escritura de parámetros que no están destinados a este fin (por ejemplo, ajustes de conectividad, parámetros de red).

La seguridad del dispositivo de almacenamiento en batería no se ve afectada porque los parámetros relevantes para la seguridad no son accesibles a través del backend web.

Los modelos afectados son:

    • Element backup, versiones anteriores a F21000400.
    • Versiones anteriores a 2e.3.8.0 de los productos:
      • Element S1,
      • Element S2,
      • Element S3,
      • One L/XL.
    • Element S3, versiones anteriores a 2e.4.4.0.
    • Element S4, versiones anteriores a D21010400.
    • Pulse (sin incluir pulse neo), versiones anteriores a C21010800.

Recomendaciones

Contramedidas generales: Restringir el tráfico HTTP al sistema de almacenamiento de energía utilizando un cortafuegos de entrada u otras medidas a nivel de red.

Contramedidas específicas del producto: Se lanzará una versión corregida por OTA en cuanto esté disponible. El despliegue para la copia de seguridad del elemento VARTA comenzará a finales del primer trimestre de 2023, seguido del elemento S4.

Referencias

[1] VDE-2022-061 – VARTA: Multiple devices prone to hard-coded credentials

[SCI] Múltiples vulnerabilidades en controladores de bomba Osprey de ProPump

Introducción

Gjoko Krstic, de Zero Science Lab[1] , ha informado de 9 vulnerabilidades: 4 de ellas de severidad crítica y 5 de severidad alta en el controlador de bomba Osprey ProPump versión 1.01. Su explotación podría permitir que un atacante obtenga acceso no autorizado, recupere información confidencial, modifique datos, provoque una denegación de servicio y/o obtenga control administrativo.

 

Análisis

Las cuatro vulnerabilidades de severidad crítica tienen asignados los siguientes identificadores:

CVE-2023-28654: Osprey Pump Controller versión 1.01 tiene una cuenta administrativa oculta con una contraseña codificada que permite el acceso completo a la configuración de la interfaz de administración web. La cuenta no está visible en la lista del menú Nombres de usuario y contraseñas de la aplicación y la contraseña no se puede cambiar a través de ninguna operación normal del dispositivo.

CVE-2023-27886: El controlador tiene una vulnerabilidad de inyección de comandos del sistema operativo. Un actor malicioso podría explotar esta vulnerabilidad para inyectar y ejecutar comandos de shell arbitrarios a través de un parámetro HTTP POST llamado por el script index.php.

CVE-2023-27394: Osprey Pump Controller versión 1.01 es vulnerable a la inyección de comandos del sistema operativo no autenticado. Los actores de amenazas podrían explotar esta vulnerabilidad para inyectar y ejecutar comandos de shell arbitrarios a través de un parámetro HTTP GET llamado por los scripts DataLogView.php, EventsView.php y AlarmsView.php.

CVE-2023-28395: Osprey Pump Controller versión 1.01 es vulnerable a un algoritmo predecible de generación de token de sesión débil y podría ayudar en la autenticación y la omisión de autorización. Esto podría permitir que un actor malicioso secuestre una sesión al predecir la identificación de la sesión y obtener acceso no autorizado al producto.

 

Recomendaciones

Se recomienda a los usuarios del producto afectado que  se comuniquen con el representante de ProPump and Controls[2] .

 

Referencias

[1] ICSA-23-082-06 – ProPump and Controls Osprey Pump Controller
[2] Pump Station Sales, Service & Installation

[SCI] Múltiples vulnerabilidades en productos ThinManager de Rockwell Automation

Introducción

Los investigadores de Tenable Network Security [1] han informado que existen tres vulnerabilidades: una de severidad crítica y dos de severidad alta que podrían permitir que un atacante realice una ejecución remota de código en el sistema o dispositivo de destino o bloquee el software.

 

Análisis

CVE-2023-28755: La vulnerabilidad de severidad crítica podría permitir a un atacante sobrescribir los archivos ejecutables existentes con contenidos maliciosos controlados por él, lo que podría provocar la ejecución remota de código[2] .

Las vulnerabilidades de severidad alta podrían permitir a un atacante remoto, no autenticado, descargar archivos arbitrarios en la unidad de disco donde está instalado ThinServer.exe y bloquear ThinServer.exe debido a una infracción de acceso de lectura. Se han asignado los identificadores CVE-2023-28756 y CVE-2023-28757 para estas vulnerabilidades.

 

Recomendaciones

Rockwell Automation ha publicado las siguientes actualizaciones para las versiones afectadas:

  • Versiones 6.x – 10.x: estas versiones están retiradas. Los usuarios deben actualizar a una versión compatible.
  • Versiones 11.0.0 – 11.0.5: Actualización a  v11.0.6.
  • Versiones 11.1.0 – 11.1.5: Actualización a  v11.1.6.
  • Versiones 11.2.0 – 11.2.6: Actualización a  v11.2.7.
  • Versiones 12.0.0 – 12.0.4: Actualización a  v12.0.5.
  • Versiones 12.1.0 – 12.1.5: Actualización a  v12.1.6.
  • Versiones 13.0.0 – 13.0.1: Actualización a  v13.0.2.
    Si los usuarios no pueden actualizar a la versión parcheada, pueden limitar el acceso remoto del puerto 2031/TCP a clientes y servidores ThinManager conocidos.

 

Referencias

[1] Tenable Network ThinManager de Rockwell Automation
[2] ICSA-23-080-06 – ThinManager de Rockwell Automation

Spear phishing: un ataque a tu medida

A veces, el phishing tiene objetivos muy concretos; los cibercriminales quieren atacar a una persona, grupo u organización específicos mediante correo electrónico. A este tipo de ataque, que va un paso más allá del phishing clásico, se le denomina spear phishing o phishing dirigido. Su objetivo eres tú.

Tras un estudio previo de la víctima, que marca la diferencia con el phishing tradicional, los atacantes suplantan a una fuente de confianza para obtener sus credenciales o infectar su equipo con malware. Para ello buscarán datos e información personal y profesional real, como hábitos diarios, gustos, planes… detalles minuciosos para tener más credibilidad. Así lograron engañar a una directiva de la Empresa Municipal de Transportes de Valencia (EMT) y robar 4 millones de euros, en uno de los mayores ataques tipo Fraude del CEO ocurridos en España.

¿Podría pasarte a ti? ¡Claro que sí! El Fraude del CEO es un ejemplo típico de spear phishing. En vez de enviar el mismo correo a millones de usuarios, pidiéndoles que hagan clic en un enlace para hacerse con sus datos, el fraude del CEO está personalizado, hecho a tu medida: saben que tu jefe ha salido de viaje y no está en la oficina. Aprovechan esa información para enviarte un email en su nombre, pidiéndote algo: pagar una factura urgente, hacer una transferencia, enviarle un informe confidencial… Todo muy urgente, solo tú puedes ayudarle, te pide ese favor. ¿Cómo negarte? ¿Se te ocurriría comprobar si es quien dice ser? Así funciona el fraude del CEO, con un superior impostor que te engaña para que hagas lo que te pide. Aquí puedes ver varios ejemplos.

El spear phishing va a por ti. Sigue estos consejos para evitar que te atrape:

Revisa el remitente del correo electrónico hasta el último detalle: ¿Es manoloo@mmoda.es, de la empresa Mi moda, quien te envía el mensaje, o el remitente debería ser manolo@mimoda.es? Fíjate en todos los campos del remitente (nombre, cargo si aparece, dirección de correo). Si hay pequeños cambios de orden en las letras, o bien un nombre o un dominio extraño en la dirección, elimínalo inmediatamente y no hagas nada de lo que pide.

No confíes en un mensaje, carta o llamada telefónica solo porque se dirijan a ti por tu nombre y apellidos o incluyan detalles personales. Hoy en día, que lo sepan todo de ti es motivo para sospechar, no para confiar.

No abras correos de desconocidos o con asuntos que no estés esperando: elimínalos. Recuerda que son el principal método de comunicación del phishing, aunque no el único, tal como explica esta guía.

Revisa los enlaces incluidos en el mensaje: verifica que www.bankia.es conduce a la web oficial de la entidad. Si ves un enlace como www.bankiä.es, sospecha, no conduce a la web auténtica. Si desconfías de una página web, analiza así su URL antes de acceder a ella o hacer clic.

Consulta con tus superiores: Si recibes un correo de un compañero o de un directivo pidiéndote que pagues una factura o realices una transferencia de forma urgente, detente y pregunta a tus superiores. Verifica si el nombre de la empresa, sus datos y la petición de pago/transferencia son correctos. “Perder” un poco de tiempo puede evitarte muchos problemas. No hagas caso de las peticiones urgentes, quieren que actúes con prisa para que no tengas tiempo de reflexionar. Antes de contestar o pagar, calma y precaución. La urgencia es una de las señales del phishing.

Extrema la precaución ante enlaces o archivos adjuntos: si dudas, mejor no hacer clic ni descargarlos.

A más vulnerabilidad, más cuidado: departamentos como Recursos Humanos o Administración están especialmente expuestos a ataques, debido a la gran cantidad de información confidencial que gestionan. Si trabajas en áreas críticas debes estar especialmente alerta.

¿Redacción extraña? Revisa las faltas de ortografía y la gramática, ya que pueden delatar un posible phishing. A veces estos ataques están traducidos automáticamente al español y hay pequeños errores o frases extrañas que los delatan, aunque no siempre es así; los malos aprenden rápido y la redacción va mejorando con las nuevas herramientas y la inteligencia artificial.

Infórmate sobre ataques: saber cómo pueden estafar a tu empresa es una buena manera de detectarlos a tiempo. Busca ejemplos de casos en Internet.

Todo. Siempre. Actualizado: con la prudencia humana no basta, las medidas técnicas son esenciales para evitar vulnerabilidades: ten actualizado el antivirus, navegador, extensiones, sistema operativo y todos los programas y aplicaciones que utilices. Revisa estos consejos básicos para la seguridad de tu equipo.

El correo corporativo es únicamente corporativo: no uses tus credenciales profesionales para cuentas privadas, por ejemplo, de Amazon, eBay, LinkedIn u otros servicios de uso personal. Limítate a usar esos datos en el ámbito profesional.

Navega con seguridad: el “candado” que aparece en la barra del navegador, te evitará conexiones fraudulentas. Aunque hay sitios maliciosos que pueden obtener este certificado de seguridad, saber diferenciar con este simple icono o eligiendo direcciones que empiecen por HTTPS te evitará caer en algunas trampas.

Usa contraseñas seguras, de al menos 12 caracteres, que combinen números y letras formando frases o reglas nemotécnicas. No uses ninguna palabra que pueda ser encontrada en un diccionario ni conceptos que tengan relación contigo, como nombres de familiares, fechas significativas, nombres de mascotas… Utiliza contraseñas diferentes para cada cuenta o servicio, no las compartas, cámbialas cada cierto tiempo y ten en cuenta estos consejos.

Desactivar otras funciones: desactivar la vista HTML o la vista previa puede evitar la ejecución de posible código malicioso entre el HTML. El uso de la vista previa comporta los mismos riesgos que abrir el correo malicioso.

Si recibes una llamada de teléfono sospechosa en la que te piden información, no reveles ningún dato, aunque no te parezca confidencial. Cuelga el teléfono y verifica la identidad de la persona que te llama. Este tipo de estafa se llama vishing y un caso habitual es la falsa llamada de Microsoft.

Sé prudente con la información que publicas en redes sociales. Nunca compartas datos sensibles como tu correo profesional o personal, la dirección de tu casa, número de teléfono, fechas de viajes o ausencias… cuanta más información publiques en las redes sociales, más pistas les das a los atacantes.

concienciaT más
Microcurso de seguridad en el correo electrónico
Guía de seguridad en el teletrabajo